July 2008 - Posts
Und wieder einmal ein Veranstaltungshinweis :-)
Ich habe euch im April dieses Jahres über die INTERACT in San Diego berichtet. Die Veranstaltung hat mir persönlich sehr gut gefallen, weil sich von der Teilnehmerzahl her überschaubar war. Der Themenschwerpunkt liegt bei Unified Communications - also alles rund um Exchange, OCS und Co. Sehr lohnenswert!
Das Datum für die nächste INTERACT steht nun fest: 13.-16. April 2009, wieder in San Diego.
Noch stehen keine weiteren Infos dazu bereit, aber ich werde euch auf dem Laufenden halten.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Christian Gröbner hat mich neulich auf eine Kleinigkeit bei Exchange Server 2007 aufmerksam gemacht, die dem ein oder anderen von Euch sicherlich mal helfen könnte.
In einem Szenario gibt es eine Exchange Server 2007-Infrastruktur mit einem internen Exchange Server mit allen notwendigen Rollen und einem Edge-Transport-Server. Die Edge-Synchronisation mit dem Edge-Abonnement ist eingerichtet und funktioniert.
Nun wird eine (neue) E-Mail-aktivierte Gruppe erstellt und ihr auch eine E-Mail-Adresse vergeben. Sie soll von extern erreichbar sein. Zum Beispiel support@fabrikam.com.
Trotz einer anschließend erfolgreichen Edge-Synchronisation werden externe E-Mails an die neu eingerichtete Adresse unzustellbar abgewiesen.
Warum?
Ausschlaggebend ist der Haken Authentifizierung aller Absender anfordern. Wenn dieser in den Nachrichtenübermittlungseinstellungen der Verteilerliste aktiviert ist (Standard), dann wird die nicht an den Edge weitergereicht.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Seit 22. Juli ist das Service Pack 1 für ISA Server 2006 auch im WSUS zu finden und kann darüber verteilt werden.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Am Donnerstag, 28. August 2008 findet das nächste Treffen der Forefront User Group in Unterschleißheim statt.
Wir haben vor, folgende beiden Themen zu behandeln:
- ISA Server 2006 Service Pack 1
- ISA Server "next": Forefront Threat Management Gateway
Wir laden hiermit wieder alle ein und freuen uns auf zahlreiche Teilnehmer.
Zwecks Planung ist eine Anmeldung bis zum 24. August erforderlich.
Weitere Infos & Anmeldung hier.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Microsoft? Support? Teuer!
Windows Vista? Service Pack 1? Nur Probleme! (*)
Nein, das muss nicht sein. Ab sofort und bis 18.03.2009 gibt es für Fragen und Probleme rund um die Kompatibilität und Installation des Service Pack 1 für Windows Vista kostenfreien Support von Microsoft.
Weitere Infos dazu gibt es hier.
(*) Das ist nur ein Grücht ;-) Aber im Ernst, ich bin mit Vista SP1 auf meinen Rechnern sehr zufrieden. Wesentlich mehr als mit ohne SP1!
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Gestern Abend stand ich vor der Aufgabe, einen Windows Server 2003 DNS Server auf eine andere Maschine zu verlegen. Der DNS Server hostet rund 100 externe Domains, die nicht AD-integriert sind. Somit werden ja alle Zoneninformationen in den *.dns-Dateien gespeichert. Bei einer AD-integrierten Zone ist der Umzug ganz einfach: Neuen Server installieren und als DNS_Server in der AD-Domäne hinzufügen. Schon hat er alle Zoneninformationen.
Bei einer Standardzone ist das etwas aufwändiger. Man hat zwar die Zonenfiles mit den wichtigen Informationen und kann diese problemlos auf einen anderen Server kopieren. Doch dann müsste man immernoch von Hand die Zonen in der Managementkonsole anlegen. Außerdem stehen in den Zonendateien keine Informationen über beispielsweise Berechtigungen. Denn in unserem Fall sind die Zonen so konfiguriert, dass nur bestimmte externe Nameserver einen Zonentransfer machen dürfen. Also müssten diese Infos anschließend von Hand nachgetragen werden - bei rund 100 Domains keine gute Idee.
Erfreulicherweise geht das alles viel einfacher als gedacht!
Der KB-Artikel 280061 beschreibt ein total einfaches uns für mich ausreichendes Verfahren für den DNS-Server-Umzug. Genau so bin ich vorgegangen und war nach wenigen Minuten mit dem Umzug fertig.
Hier nochmals die Vorgehensweise:
- den neuen DNS Server (Z-Server) einrichten, an eine IP-Adresse binden und überprüfen
- am alten Server (Q-Server) den DNS-Dienst beenden
- die komplette Ordnerstruktur %SystemRoot%\System32\DNS vom Q-Server auf den Z-Server kopieren
- am Q-Server mit regedit den Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones in eine Registry-Datei exportieren
- die Registry-Datei vom Q-Server auf den Z-Server kopieren
- am Z-Server die Registry-Datei importieren und überprüfen, dass im Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\DNS Server\Zones die Zoneneinträge sichtbar sind
- Am Z-Server den DNS-Dienst starten und überprüfen ob er abgefragt werden kann.
Je nach Situation sind noch mehr Schritte notwendig, wenn beispielsweise der neue Server die selbe IP-Adresse haben soll wie der alte. Aber das ist dann ja im Wesentlichen unabhängig von DNS.
Anschließend noch kurz stichprobenartig überprüfen, ob die Zonentransfer-Berechtigungen noch passen und nochmals testen, ob der Server wie gewünscht erreichbar ist.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Wieder eine Frage, die neulich auftauchte:
Ich habe Exchange Server 2007 bei uns produktiv installiert und habe versehentlich einen Enterprise-Lizenzkey eingetragen. Da wir nur eine Standard-Lizenz haben, würde ich den Key gerne austauschen. Wie geht das? Kann ich dazu das Cmdlet Set-ExchangeServer verwenden?
Die Antwort lautet: Nein.
Dem TechNet-Artikel Exchange Server 2007: Platforms, Editions, and Versions ist zu entnehmen:
Product keys can be used for the same edition key swaps and upgrades only, and they cannot be used for downgrades. You can use a valid product key to go from the evaluation version (Trial Edition) to either Standard Edition or Enterprise Edition. You can also use a valid product key to go from Standard Edition to Enterprise Edition. You can also license the server again using the same edition product key. For example, if you had two Standard Edition servers with two keys, but you accidentally used the same key on both servers, you can change the key for one of them to be the other key that you were issued. You can take these actions without having to reinstall or reconfigure anything. After you enter the product key, the edition corresponding to that product key will be reflected.
Bzw. als Übersetzung:
Product Keys können nur für Schlüsselwechsel bei derselben Edition und für Aktualisierungen verwendet werden und nicht für Herabstufungen. Sie können einen gültigen Product Key verwenden, um von einer Evaluierungsversion (Testversion) zur Standard Edition oder zur Enterprise Edition zu wechseln. Sie können auch einen gültigen Product Key verwenden, um von der Standard Edition zur Enterprise Edition zu wechseln. Sie können auch den Server mithilfe eines Product Keys derselben Edition erneut lizenzieren. Wenn Sie z. B. über zwei Standard Edition-Server mit zwei Product Keys verfügen, aber aus Versehen denselben Product Key für beide Server verwendet haben, dann können Sie den Product Key für einen Server ändern, damit dieser den anderen für Sie ausgestellten Product Key verwendet. Sie können diese Maßnahmen ohne erneute Installation oder Konfiguration durchführen. Nach dem Eingeben des Product Keys wird die diesem Product Key entsprechende Edition angewendet.
Ich habe den wesentlichen Satzteil unterstrichen hervorgehoben.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Neulich tauchte in einer Newsgroup die Frage auf, ob die aktuelle Version von Forefront Client Security auch einen Windows Server 2008 schützen kann.
Die Antwort lautet: JA!
Der FCS-Client kann problemlos auf einem Windows Server 2008 (sogar Core) installiert und verwendet werden.
Weitere Informationen dazu und eine aktuelle Auflistung der unterstützen Betriebssysteme gibt es im TechNet-Artikel Verifying your system requirements.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Seit einigen Tagen ist das Service Pack 1 für ISA Server 2006 erhältlich. Wie versprochen, beschreibt Marc Grote in seinem Artikel für die msisafaq.de die wesentlichen Neuerungen.
Direkt zum Artikel.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Es ist mal wieder so weit: Für Exchange Server 2007 steht ein neues Update zur Verfügung, welches zwischenzeitlich herausgegebene Fixe vereint.
Das Update Rollup 3 ist für Exchange Server 2007 mit Service Pack 1 verfügbar. Wer noch Exchange Server 2007 RTM (also ohne Service Pack 1) einsetzt, für den ist das Update Rollup 7 erhältlich.
Weitere Infos:
Das Updates steht auch über WSUS bereit.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Es ist mal wieder so weit: Für Exchange Server 2007 steht ein neues Update zur Verfügung, welches zwischenzeitlich herausgegebene Fixe vereint.
Das Update Rollup 7 ist für Exchange Server 2007 RTM (also ohne Service Pack 1) verfügbar. Wer hoffentlich schon Exchange Server 2007 mit Service Pack 1 einsetzt, für den ist das Update Rollup 3 erhältlich.
Weitere Infos:
Das Updates steht auch über WSUS bereit.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Microsoft hat auf der Worldwide Partner Conference diese Woche in Denver das offizielle Launchdatum für den Small Business Server 2008 und den Essential Business Server 2008 bekanntgegeben:
12. November 2008
Beide Lösungen befinden sich derzeit im RC1-Stadium.
Weitere Infos:
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
Es dürfte mittlerweile bekannt sein, dass Microsoft am zweiten Dienstag im Monat anstehende Sicherheitsupdates veröffentlicht.
Da diesmal ein Sicherheitsupdate für Exchange dabei ist, lohnt es sich für mich an dieser Stelle darauf hinzuweisen.
Microsoft Security Bulletin MS08-039
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Outlook Web Access (OWA) für Microsoft Exchange Server. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann Zugriff auf die Sitzungsdaten eines individuellen OWA-Clients erhalten und dadurch eine Erhöhung von Berechtigungen erreichen. Der Angreifer könnte dann innerhalb der OWA-Sitzung eines Benutzers jede Aktion durchführen, zu der dieser Benutzer berechtigt wäre.
Bewertung des maximalen Schweregrads: Hoch
Diese Anfälligkeit betrifft Exchange Server 2003 SP2 und Exchange Server 2007 (mit/ohne SP1).
Weitere Infos:
Ergänzung: Der Fix ist im Update Rollup 3 fuer Exchange Server 2007 bereits enthalten.
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront
In meinem Blogeintrag vom 24. Mai konnte ich euch vorab über das anstehende Service Pack 1 für ISA Server 2006 berichten.
Nun ist es endlich fertig!
Marc Grote wird demnächst einen ausführlichen Artikel für die msisafaq.de schreiben, der euch weitere Informationen gibt.
Die neuen Funktionen beziehen sich hauptsächlich auf die Verwaltung von Konfigurationsänderungen sowie eine optimierte Problembehandlung, mithilfe derer Sie ISA Server-Konfigurationsprobleme über die ISA Server-Verwaltungskonsole identifizieren und beheben können.
Das Service Pack umfasst die folgenden neuen Funktionen und Funktionsverbesserungen:
- Nachverfolgung von Konfigurationsänderungen – Registriert alle Konfigurationsänderungen, die auf ISA Server angewendet werden, damit Sie Probleme einschätzen können, die ggf. aufgrund dieser Änderungen auftreten.
- Testschaltfläche – Testet die Konsistenz einer Webveröffentlichungsregel zwischen dem veröffentlichten Server und ISA Server.
Datenverkehrssimulator – Simuliert Netzwerkdatenverkehr gemäß angegebenen Anforderungsparametern, z. B. zwischen einem internen Benutzer und dem Webserver, und stellt Informationen zu Firewallrichtlinienregeln zur Verfügung, die für die Anforderung bewertet werden. - Diagnoseprotokollierungsanzeige – Diese ist nun als eine Registerkarte in die ISA Server-Verwaltungskonsole integriert. Dieses Feature zeigt ausführliche Ereignisse zum Paketstatus an und stellt Informationen zur Verarbeitung und zum Regelabgleich zur Verfügung.
Verbesserungen der folgenden vorhandenen Funktionen:
- Unterstützung für den integrierten NLB-Modus in allen drei Modi einschließlich Unicast, Multicast und Multicast mit IGMP (Internet Group Management Protocol). In früheren Versionen integrierte ISA Server nur NLB-unterstützten Unicastmodus.
- Unterstützung für die Verwendung von Serverzertifikaten mit mehreren SAN-Einträgen (Subject Alternative Name, alternativer Antragstellername). In früheren Versionen konnte ISA Server nur den Antragstellernamen (allgemeiner Name) eines Serverzertifikats oder den ersten Eintrag in der SAN-Liste verwenden.
- Unterstützung für domänenübergreifende KCD-Authentifizierung (Kerberos Constrained Delegation). Anmeldeinformationen von Benutzern in einer anderen Domäne als dem Servercomputer mit ISA Server, die sich jedoch in der gleichen Gesamtstruktur befinden, können nun mithilfe von KCD an eine intern veröffentlichte Website delegiert werden.
- Unterstützung für Clientzertifikatauthentifizierung in einer Arbeitsgruppenbereitstellung. Hierdurch entfällt die Anforderung, jedes Clientzertifikat einem Benutzerkonto des Active Directory®-Verzeichnisdiensts zuordnen zu müssen.
Weitere Informationen:
Viele Grüße
Dieter
--
Dieter Rauscher
MVP Forefront